ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 組織からさがす > 生活こども部 > 県民活動支援・広聴課 > 群馬県個人情報保護事務取扱要綱

本文

群馬県個人情報保護事務取扱要綱

更新日:2024年4月1日 印刷ページ表示

第1 趣旨

 この要綱は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)による知事が保有する個人情報、仮名加工情報、匿名加工情報(以下「保有個人情報等」という。)の保護に関する事務の取扱いについて、必要な事項を定めるものとする。

第2 管理体制

1 保有個人情報等の安全管理措置を組織的に講ずるため、以下の役職を置くものとする。
(1)総括保護管理者
ア 総括保護管理者1人を置き、生活こども部長をもって充てる。
イ 総括保護管理者は、保有個人情報等の管理に関する事務を総括する任に当たる。
(2)保護管理者
ア 県庁の課室及び地域機関並びに専門機関(以下「担当課所」という。)に、保護管理者1人を置き、当該担当課所の長をもって充てる。
イ 保護管理者は、各担当課所における保有個人情報等の適切な管理を確保する任に当たる。保有個人情報等を情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携して、その任に当たる。
ウ  保有個人情報等を複数の担当課所で取り扱う場合、各保護管理者は協議して、各担当課所の任務分担を定め責任を明確にしておかなければならない。
(3)保護担当者
ア 各担当課所に、保護担当者を1人又は複数人置き、当該各担当課所の保護管理者が指名する職員をもって充てる。
イ 保護担当者は、保護管理者を補佐し、当該各担当課所における保有個人情報等の管理に関する事務を担当する。
(4)マイナンバー事務取扱担当者
ア 各担当課所に、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱うマイナンバー事務取扱担当者を1人又は複数人置き、当該各担当課所の保護管理者が指名する職員をもって充てる。
イ 保護管理者は、当該マイナンバー事務取扱担当者の役割及び取り扱う特定個人情報等の範囲を指定する。
ウ 保護管理者は、マイナンバー事務取扱担当者を指定したときは、マイナンバー事務取扱担当者名簿(参考様式第1号)を取り扱う事務ごとに作成する。この要綱と別に定めるものがある場合には、その定めに従い作成するものとする。
(5)監査責任者
ア 知事部局に、監査責任者1人を置き、県民活動支援・広聴課長をもって充てる。
イ 監査責任者は、保有個人情報等の管理の状況について監査する任に当たる。

2 保有個人情報等の適切な管理のための会議
ア 総括保護管理者は、保有個人情報等の管理に係る重要事項の決定、連絡、調整等を行うため必要があると認めるときは、関係職員を構成員とする会議を定期に又は随時に開催する。
イ 総括保護管理者は、必要に応じて情報セキュリティ等について専門的な知識及び経験を有する者等の参加を求めるよう努めるものとする。

第3 教育研修

​1 総括保護管理者は、保有個人情報等の取扱いに従事する職員(派遣労働者を含む。以下同じ。)に対し、保有個人情報等の取扱いについて理解を深め、保有個人情報等の保護に関する意識の高揚を図るための啓発その他を目的として、以下の教育研修を実施する。なお、総括保護管理者は、教育研修を行うに当たり、研修計画を策定するものとする。
(1)保護管理者及び保護担当者に対する研修
(2)保有個人情報等を取り扱う情報システムの管理に従事する職員に対する研修
(3)保有個人情報の取扱いに従事する職員に対する研修
(4)マイナンバー事務取扱担当者に対する研修
(5)特定個人情報ファイルの取扱いに従事する職員に対する研修
(6)特定個人情報等を取り扱う情報システムの管理に従事する職員に対する研修

2 保護管理者は、各担当課所の職員に対し、保有個人情報等の適切な管理のために、総括保護管理者の実施する教育研修への参加の機会を付与するとともに、研修未受講者に対して再受講の機会を付与する等の必要な措置を講ずる。

第4 個人情報の保有に関する制限

1 法令の定める所掌事務又は業務
(1)担当課所は、法令で規定されている所掌事務又は業務の遂行に必要な限度でのみ、個人情報を保有するものとする(法第61条第1項)。
(2)事務又は業務については、担当課所が事実上行っているというだけではなく、法令上の根拠が必要であり、地方公共団体の設置根拠となる法令において「所掌事務」や「業務の範囲」を定める条文に列挙されている事務又は業務のほか、「権限」を定める条文上で規定されている事務又は業務や、作用法上規定されている事務又は業務が含まれ、地方自治法(昭和22年法律第67号)第2条第2項に規定する「地域における事務」もこれに含まれる。所掌事務又は業務の根拠となる法令には、条例が含まれるほか、規則等の地方公共団体が法令に基づき定める法規が含まれる。

​2 利用目的の特定
(1)担当課所は、個人情報を保有するに当たっては、利用目的をできる限り特定するものとする(法第61条第1項)。
(2)「利用目的をできる限り特定」するとは、個人情報がどのような事務又は業務の用に供され、どのような目的に使われるかをできるだけ具体的、個別的に特定することを求める趣旨であり、利用目的の特定の程度を担当課所が恣意的に判断してはならない。また、利用目的は、具体的な利用行為が当該利用目的の範囲内であるか否か、合理的かつ明確に判断すること。
(3)定めた利用目的は、個人情報保有事務登録簿(群馬県個人情報の保護に関する法律施行条例施行規則(令和5年群馬県規則第23号。)別記様式第2号及び第3号。以下「登録簿」という。)に記載することにより管理する。

​​第5 保有個人情報の取得及び利用の際の遵守事項

1 利用目的の変更
(1)担当課所が、利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲に限り、利用目的を変更することができるものとする(法第61条第3項)。
(2)利用目的以外の目的のための利用及び提供が恒常的に行われる場合は、同項に基づき利用目的を変更し、臨時的に行われる場合は、第6の2に基づき利用目的以外の目的のための利用及び提供を行うものとする。
(3)利用目的以外の目的のための利用及び提供を恒常的に行うことを個人情報の取得前から予定している場合は、そのような利用及び提供が可能となるように利用目的を設定して登録簿に記載しておくものとする。

2 本人から書面により取得する際の利用目的の明示
(1)利用目的の明示
 担当課所は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときは、申請書等の様式への利用目的の記載、窓口における掲示又はホームページへの掲載等本人が利用目的を認識することができる適切な方法により、あらかじめその利用目的を明示しなければならないものとする(法第62条)。
(2)利用目的の明示の適用除外
 次に掲げる場合は、利用目的の明示をしないものとすることができる。
ア 人の生命、身体又は財産の保護のために緊急に必要があるとき。
イ 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
ウ 利用目的を本人に明示することにより、国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
エ 取得の状況からみて利用目的が明らかであると認められるとき。

3 不適正な利用及び取得の禁止
 担当課所は、個人情報の適正な取扱いに対する県民等の信頼確保の観点から、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならず、また偽りその他不正の手段により個人情報を取得してはならない(法第63条及び第64条)。

4 正確性の確保
(1)担当課所は、保有個人情報の正確性を確保する措置を講ずるよう努めなければならない(法第65条)。
(2)職員は、保有個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。

第6 保有個人情報の利用及び提供の制限

1 利用目的以外の目的のための利用及び提供の禁止
(1)担当課所は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない(法第69条第1項)。
(2)法令に基づき、利用目的以外の目的のために利用及び提供し得る場合でも、利用及び提供が義務付けられるものではないことに注意すること。実際に利用及び提供することの適否については、それぞれの法令の趣旨に沿って適切に判断するものとする。
(3)(1)の「法令」には、法令の委任に基づき定められた条例は含まれるが、それ以外の条例は含まれない。

​2 例外的に利用目的以外の目的のための利用及び提供が認められる場合
(1)担当課所は、次のアからエのいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を利用及び提供することができる。ただし、これらに該当する場合でも、本人又は第三者の権利利益を不当に侵害するおそれがあると認めるときは、利用及び提供することができない(法第69条第2項)。
ア 本人の同意があるとき、又は本人に提供するとき(同項第1号)。
(ア)「本人の同意」は必ずしも書面によることを要しない。
(イ)本人への提供に当たっては、提供先が本人であることについての確認が必要であり、開示等請求における本人確認の方法については「群馬県保有個人情報開示等事務取扱要綱」第3の2(3)も参考に、適切に対応する必要がある。
(ウ)本号に基づく本人への保有個人情報の提供は、法第76条の規定に基づく本人からの開示請求に応じて開示する場合には含まれない。
イ 担当課所が法令の定める所掌事務又は業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき(同項第2号)。
(ア)「事務又は業務」には、当該行政機関等の設置の根拠となる法令において「所掌事務」や「業務の範囲」を定める条文に列挙されている事務又は業務のほか、「権限」を定める条文上で規定されている事務又は業務や、作用法上規定されている事務又は業務が含まれる。
(イ)「相当の理由があるとき」とは、担当課所の恣意的な判断を許容するものではなく、少なくとも、社会通念上、客観的にみて合理的な理由があることが求められる。相当の理由があるかどうかは、保有個人情報の内容や当該保有個人情報の利用目的等を勘案して、担当課所が個別に判断することとなるが、例外的に利用目的以外の目的のための利用及び提供が許容される場合について規定した趣旨から、例外としてふさわしい理由であることが求められる。
ウ 他の行政機関、独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、提供を受ける者が法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当の理由があるとき(同項第3号)。
(ア)「事務又は業務」及び「相当な理由があるとき」についての考え方は、上記イと同様である。
(イ)「地方公共団体」に知事は含まれないため、知事部局内の他の担当課所に保有個人情報を送付等する場合は、上記イ(法第69条第2項第2号)を根拠とした利用が可能か否かを判断する。
エ 上記アからウまでに記載する場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき(同項第4号)。
(ア)「本人以外の者に提供することが明らかに本人の利益になるとき」には、本人の生命や身体、又は財産を保護するために必要がある場合や、本人に対する金銭の給付、栄典の授与等のために必要がある場合などが含まれる。
(イ)「特別の理由があるとき」とは、本来担当課所において厳格に管理すべき個人情報について、担当課所以外の者に例外として提供することが認められるためにふさわしい要件として、個人情報の性質、利用目的等に則して、「相当の理由」よりも更に厳格な理由が必要であるとする趣旨である。具体的には、(1)行政機関等に提供する場合と同程度の公益性があること、(2)提供を受ける側が自ら当該保有個人情報に相当する個人情報を取得することが著しく困難であること、(3)提供を受ける側の事務が緊急を要すること、(4)当該保有個人情報の提供を受けなければ提供を受ける側の事務の目的を達成することが困難であること等の、特別の理由が必要である。
(2)上記アからエに該当する場合であっても、他の法令の規定により個人情報の利用及び提供が制限されている場合には、当該法令の規定が適用されることとなる。
(3)上記ウ及びエに基づき保有個人情報を提供する場合には、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わす。

​3 保有個人情報の提供を受ける者に対する措置要求
(1)担当課所は、利用目的のために又は本人の同意に基づかずに第三者に保有個人情報を提供する場合は、提供を受ける者に対し、提供に係る保有個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする(法第70条)。
(2)担当課所は、措置要求した事項の遵守状況を把握し、その結果、措置要求が遵守されていない場合、その後の提供の停止や、提供した保有個人情報の返却等を求めるものとする。

​​第7 保有個人情報の利用目的以外の目的のための外国にある第三者への提供

1 利用目的以外の目的のための外国にある第三者への提供
 担当課所は、外国にある第三者に利用目的以外の目的のために保有個人情報を提供する場合には、次のいずれかに該当する場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得るものとする(法第71条第1項)。
(1)当該第三者が、次に掲げる個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要な体制(以下「基準適合体制」という。)を整備している場合
ア 担当課所と保有個人情報の提供を受ける者との間で、当該提供を受ける者における当該個人情報の取扱いについて確認書や覚書を交わす等の適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること(個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)第46条第1号)。
イ 保有個人情報の提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(規則第46条第2号)。
(2)法令に基づく場合
(3)法第69条第2項第4号に掲げる場合

​2 同意取得時の情報提供
(1)担当課所は、外国にある第三者への提供を認める旨の同意を得ようとする場合には、あらかじめ、次の情報を本人に提供するものとする(法第71条第2項)。
ア 当該外国の名称(規則第47条第2項第1号)
イ 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(同項第2号)
ウ 当該第三者が講ずる個人情報の保護のための措置に関する情報(同項第3号)
エ その他当該本人の参考となるべき情報(法第71条第2項)
(2)上記(1)に加え、担当課所は、基準適合体制を整備している外国にある第三者に利用目的以外の目的のために保有個人情報を提供した場合には、法令に基づく場合及び法第69条第2項第4号に掲げる場合を除き、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて、次の情報を当該本人に提供するものとする(法第71条第3項)。
ア 当該第三者による法第71条第1項に規定する体制の整備の方法(規則第48条第3項第1号)
イ 当該第三者が実施する相当措置の概要(同項第2号)
ウ 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容の確認の頻度及び方法(同項第3号)
エ 当該外国の名称(同項第4号)
オ 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要(同項第5号)
カ 当該第三者による相当措置の実施に関する支障の有無及びその概要(同項第6号)
キ 上記カの支障に関して担当課所が講ずる措置の概要(同項第7号)

​​第8 保有個人情報等の適正な管理

1 保有個人情報等の取扱い
(1)アクセス制限
ア 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等にアクセスする(紙等に記録されている保有個人情報等に接する行為を含む。以下同じ。)権限を有する職員の範囲と権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限る。
イ アクセス権限を有しない職員は、保有個人情報等にアクセスしてはならない。
ウ 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報等にアクセスしてはならず、アクセスは必要最小限としなければならない。
(2)複製等の制限
 職員が、業務上の目的で保有個人情報等を取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該保有個人情報等の秘匿性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定し、職員は、保護管理者の指示に従い行う。
ア 保有個人情報等の複製
イ 保有個人情報等の送信
ウ 保有個人情報等が記録されている媒体の外部への送付又は持ち出し
エ その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(3)誤りの訂正等
 職員は、保有個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。
(4)媒体の管理等
ア 職員は、保護管理者の指示に従い、保有個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行う。なお、施錠できる場所に保管できない場合で、機器で個人情報ファイルを取り扱う情報システムを運用している場合は、当該機器をセキュリティワイヤー等により固定するものとする。
イ 保有個人情報等が記録されている媒体を外部へ送付し又は持ち出す場合には、原則として、パスワード等(パスワード、IC カード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
ウ 職員は、保有個人情報等が記録されている媒体を庁舎内で移動させる場合には、紛失・盗難等に留意するものとする。
(5)誤送付等の防止
 職員は、保有個人情報等を含む電磁的記録又は媒体の誤送信、誤送付、又はウェブサイト等への誤掲載を防止するため、個別の事務又は事業において取り扱う個人情報等の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講ずる。
(6)廃棄等
ア 職員は、保有個人情報等又は保有個人情報等が記録されている書類又は媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法により廃棄を行う。
イ アの廃棄は次の方法により行うものとする。
(ア)保有個人情報等が記載されている書類を廃棄する場合
焼却、溶解又は裁断等の復元不可能な手段による廃棄を委託する。また、運搬についても確実に実施することが期待できる業者を選定する。
なお、秘匿性が高い保有個人情報の場合には、シュレッダーによる裁断等を行ってから廃棄を委託する。
(イ)保有個人情報等が記録されている媒体を廃棄する場合
データ消去ソフトウェアの利用又は物理的な破壊等により、復元不可能な処理を施してから廃棄を委託する。
ウ 保有個人情報等の消去や保有個人情報等が記録されている媒体の廃棄を委託する場合(二以上の段階にわたる委託を含む。)には、必要に応じて職員が消去及び廃棄に立ち会い、又は写真等を付した消去及び廃棄を証明する書類を受け取るなど、委託先において消去及び廃棄が確実に行われていることを確認する。
(7)保有個人情報等の取扱状況の記録
 保護管理者は、保有個人情報等の秘匿性等その内容及び必要に応じて、台帳等を整備して、当該保有個人情報の利用及び保管等の取扱いの状況について記録する。
(8)外的環境の把握
 保有個人情報等が、外国において取り扱われる場合、当該外国の個人情報等の保護に関する制度等を把握した上で、保有個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。

​2 情報システムにおける安全の確保等
(1)アクセス制御
ア 保護管理者は、保有個人情報等(情報システムで取り扱うものに限る。以下(13)を除き、「2 情報システムにおける安全の確保等」において同じ。)の秘匿性等その内容に応じて、認証機能を設定する等のアクセス制御のために必要な措置を講ずる。
イ 保護管理者は、アの措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずる。
(2)アクセス記録
ア 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を効率的かつ確実に分析するために必要な措置を講ずる。
イ 保護管理者は、アクセス記録の改ざん、窃取又は不正な消去等の防止のために必要な措置を講ずる。
(3)アクセス状況の監視
 保護管理者は、保有個人情報等の秘匿性等その内容及びその量に応じて、当該保有個人情報等への不適切なアクセスの監視のため、保有個人情報等を含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずる。
(4)管理者権限の設定
 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる。
(5)外部からの不正アクセスの防止
 保護管理者は、保有個人情報等を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。
(6)不正プログラムによる漏えい等の防止
 保護管理者は、不正プログラムによる保有個人情報等の漏えい、滅失又は毀損(以下「漏えい等」という。)の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。
(7)情報システムにおける保有個人情報等の処理
 職員は、保有個人情報等について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。保護管理者は、当該保有個人情報等の秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認する。
(8)暗号化等
ア 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずる。
イ 職員は、上記アの措置を踏まえ、その処理する保有個人情報等について、当該保有個人情報等の秘匿性等その内容に応じて、適切に暗号化又はパスワードの付与を行う。
(9)記録機能を有する機器及び媒体の接続制限
 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等の漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器及び媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
(10)端末の限定
 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。
(11)端末の盗難防止等
ア 保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。
イ 職員は、保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(12)第三者の閲覧防止
 職員は、端末の使用に当たっては、保有個人情報等が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
(13)入力情報の照合等
 職員は、情報システムで取り扱う保有個人情報等の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報等の内容の確認、既存の保有個人情報等との照合等を行う。
(14)バックアップ
 保護管理者は、保有個人情報等の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。
(15)情報システム設計書等の管理
 保護管理者は、保有個人情報等に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。

​3 サーバ室等の安全管理
(1)入退管理
ア 保護管理者は、保有個人情報等を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「サーバ室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、保有個人情報等を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずる。
イ 保護管理者は、必要があると認めるときは、サーバ室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずる。
ウ 保護管理者は、サーバ室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。
(2)サーバ室等の管理
ア 保護管理者は、外部からの不正な侵入に備え、サーバ室等に施錠装置の設置等の措置を講ずる。
イ 保護管理者は、災害等に備え、サーバ室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。

​4 特定個人情報等の取扱いの特則
(1)特定個人情報等の取扱い
 マイナンバー事務取扱担当者ではない職員は、特定個人情報等を取り扱ってはならない。
(2)取扱区域
 保護管理者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にした上で、保護管理者及びマイナンバー事務取扱担当者以外の者が特定個人情報等を容易に閲覧等できないよう留意するものとする。
(3)管理区域
 保護管理者は、特定個人情報ファイルを取り扱う情報システムのサーバ等を管理する区域(以下「管理区域」という。)を明確にするものとする。
(4)個人番号の利用の制限
 保護管理者は、個人番号の利用に当たっては、番号法があらかじめ限定的に定めた事務に限定して行う。
(5)本人確認
 マイナンバー事務取扱担当者は、個人番号の提供を受ける際には、当該提供をする者から個人番号カードの提示を受けるなどその者が本人であることを確認しなければならない。
(6)個人番号の提供の求め及び特定個人情報等の提供の制限
ア マイナンバー事務取扱担当者は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、他人の個人番号の提供を求めてはならない。
イ マイナンバー事務取扱担当者は、番号法で限定的に明記された場合を除き、特定個人情報等を提供してはならない。
(7)特定個人情報ファイルの作成の制限
 マイナンバー事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(8)特定個人情報等の収集・保管の制限
 マイナンバー事務取扱担当者は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集又は保管してはならない。
(9)特定個人情報等の取扱状況の記録
ア 保護管理者は、特定個人情報等の利用、保管等の取扱いの状況について、特定個人情報等取扱状況記録台帳(参考様式第2号)を作成し記録するものとする。この要綱と別に定めるものがある場合には、その定めに従い作成するものとする。
イ 保護管理者は、アの記録(特定個人情報ファイルを情報システムで取り扱う場合は、当該システムから取得したアクセスログ等を含む。)について、改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるとともに、定期に及び必要に応じ随時に不正アクセスの有無等について分析を行うものとする。また、分析を行ったときは、特定個人情報等取扱状況分析記録(参考様式第3号)を作成し、その結果等を記録するものとする。
ウ アの記録の項目は次のとおりとする。
(ア)特定個人情報ファイルの利用・出力状況の記録
(イ)書類・媒体等の持ち運びの記録
(ウ)特定個人情報ファイルの削除・廃棄記録
(エ)削除・廃棄を委託した場合、これを証明する記録等
(オ)特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(10)電子媒体等の取扱いにおける漏えい等の防止
 マイナンバー事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を取扱区域又は管理区域の外に持ち運ぶ必要が生じた場合には、容易に個人番号が判明しないよう安全な方策を講ずるものとする。

​5 仮名加工情報の取扱いの特則
(1)第三者提供の制限
 保護管理者は、法令に基づく場合を除くほか、仮名加工情報を第三者(当該仮名加工情報の取扱いの委託を受けた者を除く。)に提供してはならない。
(2)識別行為の禁止
 職員は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別する目的で、次の行為を行ってはならない。
ア 当該仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに加工の方法に関する情報を取得すること。
イ 当該仮名加工情報を他の情報と照合すること。
(3)連絡先等の利用の禁止
 職員は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(4)委託を受けた者への準用
 上記(1)から(3)の規定は、県から仮名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

​6 匿名加工情報の取扱の特則
(1)第三者提供に係る義務
 保護管理者は、匿名加工情報(行政機関等匿名加工情報を除く。以下「6 匿名加工情報の取扱の特則」において同じ。)を第三者に提供するときは、法令に基づく場合を除き、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について、インターネットの利用その他の適切な方法により公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メールを送信する方法又は書面を交付する方法その他の適切な方法により明示しなければならない。
(2)識別行為の禁止等
ア 保護管理者は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除記述等若しくは加工方法情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
イ 保護管理者は、匿名加工情報の漏えいを防止するため、匿名加工情報の適切な管理のために必要な措置を講じなければならない。
(3)委託を受けた者への準用
 上記(1)及び(2)の規定は、県から匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

​7 保有個人情報等の取扱いに係る業務の委託等
(1)業務の委託等
ア 保有個人情報等の取扱いに係る業務を外部に委託する場合には、「群馬県個人情報取扱事務委託基準」に従い、必要な措置を講ずる。
イ 公の施設の管理を地方自治法第244条の2第3項の規定による指定管理者に行わせる場合には、「群馬県指定管理者個人情報取扱基準」に従い、必要な措置を講ずる。
(2)労働者派遣契約
 保有個人情報等の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。

​8 安全確保上の問題への対応
(1) 事案の報告及び再発防止措置
ア 保有個人情報等の漏えい等の安全確保の上で問題となると思われる事案が発生した場合に、その事実を知った職員は、速やかに当該保有個人情報等を管理する保護管理者に報告するものとする。
イ 保護管理者は、被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
ウ 保護管理者は、速やかに事案の発生した経緯、被害状況等を調査し、当該事態を知った日から原則3日以内に県民活動支援・広聴課を経由して総括保護管理者に報告するとともに、当該担当課所の属する部局の長に報告しなければならない。
エ 上記ウの報告は、次に掲げるいずれかの保有個人情報(特定個人情報等を除く。)に係る漏えい等事案に該当する場合は別記様式第1号、特定個人情報等に係る漏えい等については別記様式第2号の提出により行うものとする。また、別記様式第1号又は別記様式第2号により報告を行った場合は、当該事態を知った日から原則30日以内に確報を同様式により、県民活動支援・広聴課に報告するものとする。
(ア)要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報(法第2条第3項))が含まれる保有個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置が講じられたものを除く)の漏えい等が発生し、又は発生したおそれがある場合
(イ)不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある場合
(ウ)不正の目的をもって行われたおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある場合
(エ)保有個人情報に係る本人の数が100人を超える漏えい等が発生し、又は発生したおそれがある場合
オ 総括保護管理者は、ウの規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を副知事(生活こども部担当)に速やかに報告するものとする。
カ 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
キ 県民活動支援・広聴課は、上記エ(ア)から(エ)に掲げる事案又は行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号)第2条に規定する漏えい事案の報告を受けた場合には、個人情報保護委員会に当該事案について報告する。
(2)本人への通知
ア 保護管理者は、事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、下記の事項を速やかに、本人に連絡し、又は本人が容易に知り得る状態に置くものとする。
(ア)概要
(イ)漏えい等が発生し、又は発生したおそれがある保有個人情報等の項目
(ウ)原因
(エ)二次被害又はそのおそれの有無及びその内容
(オ)その他参考となる事項
イ 次のいずれかに該当するときは、上記アの本人への通知義務は負わない。
(ア)本人への通知が困難であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき。
(イ)当該保有個人情報等に法第78条第1項各号に掲げる情報(不開示情報)のいずれかが含まれるとき。
(3)公表等
 保護管理者は、二次被害、類似事案の発生回避等のため、次のとおり事案の公表を行うものとする。
ア 公表基準
 原則として公表するものとする。ただし、次のような場合その他公表することに合理性がないと認められる場合には公表しないことができる。
(ア)公表することにより、本人又は第三者の生命、身体、財産その他の権利利益を侵害するおそれがある場合
(イ)公表することにより、捜査機関における適正な業務の遂行に著しい支障を及ぼすおそれがある場合
(ウ)被害者等関係者が公表を望まない場合
イ 公表内容
(ア)事案の概要
(イ)事案への対応状況
(ウ)二次被害の発生状況
(エ)再発防止策の内容
ウ 公表方法
 報道提供、群馬県ホームページへの掲載等、事案の内容に応じて有効な手段を選択するものとする。
エ 公表時期
 事案の発生後、速やかに公表するものとする。

​9 監査及び点検の実施
(1)監査
 監査責任者は、保有個人情報等の適切な管理を検証するため、保有個人情報等の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告するものとする。
(2)点検
 保護管理者は、各担当課所における保有個人情報等の記録媒体、処理経路、保管方法等について、必要に応じ随時に保有個人情報等管理状況自己点検チェックシート(参考様式第4号)を用いて点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。
(3)評価及び見直し
 総括保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。

​10 サイバーセキュリティに関する対策の基準等
 保有個人情報等を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、情報通信技術の利用における安全性及び信頼性の確保に関する基本要綱(群馬県情報セキュリティポリシー)の基準等を参考として、取り扱う保有個人情報等の性質等に照らして適正なサイバーセキュリティの水準を確保する。

​​第9 個人情報ファイル簿及び個人情報保有事務登録簿の作成及び公表

 法第75条第1項に規定する個人情報ファイル簿の作成・公表については、「個人情報ファイル簿作成要領」を参照するものとする。
 また、登録簿の作成・公表については、「個人情報保有事務登録簿作成要領」を参照するものとする。

​​第10 開示、訂正及び利用停止

 法第5章第4節に規定する保有個人情報の開示、訂正及び利用停止については、「群馬県保有個人情報開示等事務取扱要綱」を参照するものとする。

第11 行政機関等匿名加工情報の作成等

 法第5章第5節に規定する行政機関等匿名加工情報の提供等については、「群馬県行政機関等匿名加工情報提供要領」を参照するものとする。

第12 苦情の処理に係る事務

1 相談及び説明
(1)県民活動支援・広聴課は、保有個人情報等の取扱いに関する苦情の申出があった場合は、苦情の申出の趣旨、内容等を把握し、苦情を申し出た者を担当課所に案内するなど適切な対応をするものとする。
(2)法の解釈や個人情報保護制度に関する苦情の申出があった場合は、個人情報保護委員会が整備する総合案内所(個人情報保護法相談ダイヤル)を案内するものとする。

​2 苦情申出処理票
 県民活動支援・広聴課は、苦情の申出を受け付けた場合は、その内容を苦情申出処理票(別記様式第3号)に取りまとめるものとする。この場合において、苦情を申し出た者が回答を求めたときは、当該申出者の住所、氏名、連絡先等を確認するものとする。また、担当課所で苦情の申出を受け付けた場合は、これに準じて処理するものとする。
 なお、電話による苦情の申出についても、この方法に準じて処理するものとする。

​3 苦情の申出に対する処理
(1)県民活動支援・広聴課で、苦情の申出を受け付けた場合は、苦情申出処理票を担当課所に送付するものとする。
(2)担当課所で、苦情の申出を受け付けた場合は、苦情申出処理票を県民活動支援・広聴課に送付するものとする。

​4 苦情の処理及び処理結果等の通知
 担当課所は、苦情申出処理票を作成し、又は苦情申出処理票の送付を受けた場合は、その内容を検討の上、保有個人情報の取扱いについて適当な措置を行うとともに、回答を求められた場合は、苦情の申出者に対し、回答するものとする。
 なお、その結果を苦情申出処理票に記入するとともに、その写しを県民活動支援・広聴課に送付するものとする。

​​附則

1 この要綱は、令和5年4月1日に施行する。
2 群馬県個人情報保護事務取扱要綱(平成12年12月20日制定)は、廃止する。

​附 則
1 この要綱は、令和6年4月1日に施行する。​